Ox Security’nin 2025 Uygulama Güvenlik Karşılaştırması raporuna göre, çoğu otomatik araçlar tarafından oluşturulan büyük miktarda güvenlik uyarıları, güvenlik ve geliştirme ekipleri büyük bir güvenlik ve geliştirme ekipleridir.
Rapor, 90 gün boyunca 178 kuruluştan toplanan 101 milyondan fazla uygulama güvenliği bulguunun analizine dayanmaktadır (4. çeyrek 2024), bu da güvenlik uyarılarının sadece% 2-5’inin derhal işlem gerektirdiğini, ancak kuruluşların kritik olmayan sorunların geri kalan% 95’inde değerli kaynakları boşa harcamaya devam ettiğini göstermektedir.
Ortalama olarak, kuruluşlar 569.354 güvenlik uyarısı ile ilgilenir, ancak bu sayı bağlam temelli önceliklendirme yoluyla 11.836’ya düşürülebilir. Kritik konular sadece 202’dir.
Uygulama güvenlik açıkları son yıllarda hızla arttı
Bildirilen uygulama güvenlik açıklarının sayısı son yıllarda artmıştır. Kamu veritabanı CVE detayı, 2024’te 40.291’in aksine, 2015 yılında 6.494 güvenlik açıkını tanımladı – bu da bilinen güvenlik açıklarının sayısını yaklaşık 200.000’e getirdi. Bu eğilim yavaşlama belirtisi göstermez. Olay Yanıtı ve Güvenlik Ekipleri Forumu (ilk olarak) 2025’te 41.000 ila 50.000 yeni zayıflığın ortaya çıkacağını öngörüyor.
Güvenlik bulgularının hacmi ve sorunlara öncelik verememe, APPSEC’de ilgili bir model yaratmıştır: Düzeltmeler daha basit ve daha az maliyetli olduğunda, gelişimin ilk aşamalarında güvenlik açıkları kabul edilmez.
Bu güvenlik açıklarının büyümesi, yazılımı hızlı bir şekilde dağıtma baskısı ile birleştiğinde, güvenlik ekiplerini zorlamaktadır. Birçok ticari güvenlik aracı sorunları tespit etmede mükemmel olsa da, genellikle aşırı sayıda uyarı üretir ve bu da uyarı yorgunluğuna neden olur.
Güvenlik ve geliştirme ekipleri, o kadar da önemli olmayan ve tonlarca uyarıdan elenen konuların peşinden koşarak aşınır. Bu, kuruluşu daha yüksek bir risk altına alan gerçek tehditleri kaçırma olasılıklarının daha yüksek olduğu anlamına gelebilir. Bu nedenle, kuruluşlar gürültüyü filtrelemek ve sınırlı güvenlik kaynaklarını önemli iş varlıkları için gerçek, sömürülebilir riskler olan az sayıda soruna odaklamak için akıllı yollara ihtiyaç duyarlar.
Ayrıca, güvenlik tarayıcıları genellikle gerçek güvenlik açıkları ile sadece düz eski zayıf kodlama uygulamaları arasındaki farkı söylemekte zorlanırlar.
Finansal kurumlar daha yüksek güvenlik uyarı hacimleriyle karşı karşıya
% 95 problem, bağlamsal analiz ve kanıta dayalı önceliklendirmenin önemini vurgulamaktadır. İlk güvenlik açığı değerlendirmesinin ötesindeki faktörleri göz önünde bulundurarak, kuruluşlar kritik olmayan uyarıları etkili bir şekilde filtreleyebilir ve gerçek bir tehdit oluşturanlara odaklanabilir.
Çoğu uyarının depricat edilebileceği doğru olsa da, hemen dikkat edilmesi gereken% 2-5’i tespit edebilmek çok önemlidir. Tüm sorunların yaklaşık% 1.71’i (yaklaşık 36.000) bilinen ve sömürülen güvenlik açıkları (KEV) olarak tanımlanmıştır. CISA tarafından korunan KEV kataloğu, kullanıldığını bildiğimiz ve şu anda saldırılarda kullanıldığını bildiğimiz güvenlik açıklarını listeler.
Bunlar artık teorik güvenlik açıkları değil; Zaten sömürüldüler ve tekrar sömürülebilirler, bu da onları yüksek bir risk haline getirir. Bu nedenle, katalogda listelenen kritik güvenlik açıklarının KEV’de tanımlanmayanlardan daha yüksek öncelikle ele alınmasını bekleriz.
Finansal kurumlar,% 55’e kadar daha fazla daha yüksek uyarı hacimleri yaşarlar. Parasal işlemlere ve hassas verilere yakınlıkları onları yüksek değerli hedefler haline getirir.
Uygulama güvenlik düzeltmelerinin% 95’inden daha azı kritik ise, kuruluşlar triyaj, programlama ve siber güvenlik çabalarında büyük miktarda zaman ve kaynak harcıyor.
Sonuç olarak, uygulama güvenliğinin geleceği, olası her güvenlik açığını düzeltmeye çalışmakla ilgili değildir. Akıllı olmak ve gerçek riskler oluşturan konulara odaklanmakla ilgilidir.